Come identificare i token truffa

Uno degli utilizzi più comuni di Ethereum è quello di permettere a un gruppo di persone di creare un token scambiabile, che potremmo definire la loro valuta. In genere questi token seguono uno standard, l'ERC-20. Tuttavia, ovunque ci siano casi d'uso legittimi che apportano valore, ci sono anche criminali che cercano di accaparrarsi quel valore.

Ci sono due modi in cui è probabile che ti ingannino:

• Vendendoti un token truffa, che può sembrare il token legittimo che vuoi acquistare, ma è emesso dai truffatori e non vale nulla.
• Inducendoti con l'inganno a firmare transazioni sbagliate, di solito indirizzandoti alla loro interfaccia utente. Potrebbero cercare di convincerti a concedere ai loro contratti accesso ai tuoi token ERC-20, a esporre informazioni sensibili che consentano loro di accedere alle tue risorse, ecc. Queste interfacce utente potrebbero essere cloni quasi perfetti di siti onesti, ma con trucchi nascosti.

Per illustrare cosa sono i token truffa e come identificarli, analizzeremo un esempio di uno di essi: wARB(opens in a new tab). Questo token cerca di assomigliare al token legittimo ARB(opens in a new tab).

Come funzionano i token truffa?

Lo scopo di Ethereum è la decentralizzazione. Ciò significa che non esiste un'autorità centrale che possa confiscare le tue risorse o impedirti di distribuire un contratto intelligente. Ma ciò significa anche che i truffatori possono distribuire tutti i contratti intelligenti che desiderano.

In particolare, Arbitrum ha distribuito un contratto che utilizza il simbolo ARB. Ma questo non impedisce ad altre persone di distribuire un contratto che utilizza lo stesso simbolo o uno simile. Chiunque scriva il contratto può stabilire ciò che il contratto farà.

Apparire legittimi

Ci sono diversi trucchi che i creatori di token truffa mettono in atto per sembrare legittimi.

• Nome e simbolo legittimi. Come già accennato, i contratti ERC-20 possono avere lo stesso simbolo e lo stesso nome di altri contratti ERC-20. Non si può contare su questi campi per la sicurezza.

• Proprietari legittimi. I token truffa spesso inviano saldi significativi a indirizzi che ci si aspetta siano legittimi possessori del token reale.

  Ad esempio, esaminiamo di nuovo wARB. Circa il 16% dei token(opens in a new tab) è detenuto da un indirizzo il cui tag pubblico è Fondazione Arbitrum: Distributore(opens in a new tab). Questo non è un indirizzo falso, è infatti l'indirizzo che ha distribuito il vero contratto ARB sulla rete principale di Ethereum(opens in a new tab).

  Poiché il saldo ERC-20 di un indirizzo fa parte della memoria del contratto ERC-20, può essere specificato dal contratto che corrisponda a quanto desiderato dallo sviluppatore del contratto. È anche possibile che un contratto vieti i trasferimenti, in modo che gli utenti legittimi non possano sbarazzarsi di quei token truffa.

• Trasferimenti legittimi. I proprietari legittimi non pagherebbero per trasferire un token truffa ad altri, quindi se ci sono trasferimenti devono essere legittimi, giusto? Sbagliato. Gli eventi di trasferimento sono prodotti dal contratto ERC-20. Un truffatore può facilmente scrivere il contratto in modo che produca queste azioni.

Siti web truffaldini

I truffatori sono anche in grado di produrre siti web molto convincenti, a volte addirittura cloni precisi di siti autentici, con interfacce utente identiche, ma con sottili trucchi. Esempi possono essere i collegamenti esterni che sembrano legittimi e che in realtà rimandano l'utente a un sito truffa esterno, oppure istruzioni errate che portano l'utente a esporre le proprie chiavi o a inviare fondi all'indirizzo di un utente malevolo.

La pratica migliore per evitare questo problema è controllare attentamente l'URL dei siti visitati e salvare nei segnalibri gli indirizzi dei siti autentici noti. In questo modo, è possibile accedere al sito reale attraverso i segnalibri senza commettere accidentalmente errori di ortografia o affidarsi a collegamenti esterni.

Come ci si può proteggere?

1. Controlla l'indirizzo del contratto. I token legittimi provengono da organizzazioni legittime e gli indirizzi dei contratti possono essere consultati sul sito web dell'organizzazione. Per esempio, per ARB puoi vedere gli indirizzi legittimi qui(opens in a new tab).

2. I token reali hanno liquidità. Un'altra opzione è quella di esaminare le dimensioni dei pool di liquidità su Uniswap(opens in a new tab), uno dei protocolli di scambio di token più comuni. Questo protocollo funziona utilizzando pool di liquidità, in cui gli investitori depositano i loro token nella speranza di ottenere un guadagno dalle commissioni di negoziazione.

I token truffa hanno in genere pool di liquidità molto ridotti, se non addirittura inesistenti, perché i truffatori non vogliono mettere a rischio risorse reali. Ad esempio, il pool Uniswap ARB/ETH contiene circa un milione di dollari (vedi qui il valore aggiornato(opens in a new tab)) e l'acquisto o la vendita di una piccola quantità non cambierà il prezzo:

Ma quando si cerca di acquistare il token truffa wARB, anche un piccolo acquisto cambierebbe il prezzo di oltre il 90%:

Questo è un altro elemento di prova che ci mostra che wARB probabilmente non è un token legittimo.

3. Cerca su Etherscan. Molti token truffa sono già stati identificati e segnalati dalla community. Tali token sono contrassegnati su Etherscan(opens in a new tab). Sebbene Etherscan non sia una fonte autorevole di verità (è nella natura delle reti decentralizzate che non ci possa essere una fonte autorevole di legittimità), i token che sono identificati da Etherscan come truffe sono probabilmente truffe.

   

Conclusioni

Finché ci sarà valore nel mondo, ci saranno truffatori che cercheranno di accaparrarselo, e in un mondo decentralizzato non c'è nessuno che possa proteggerti se non te stesso. Speriamo che ricorderai questi punti per distinguere i token legittimi dalle truffe:

• I token truffa si spacciano per token legittimi, possono utilizzare lo stesso nome, lo stesso simbolo, ecc.
• I token truffa non possono utilizzare lo stesso indirizzo di contratto.
• La fonte migliore per l'indirizzo del token legittimo è l'organizzazione da cui proviene il token stesso.
• Se non fosse disponibile, è possibile utilizzare applicazioni famose e affidabili come Uniswap(opens in a new tab) e Etherscan(opens in a new tab).